セキュリティに対する重要性は理解したけれど、用語が難しくてという声を聞くことがよくあります。そんな方に、「今だから学ぶ!」と題して、連載でセキュリティの頻出用語を解説します。第12回は、「CSIRT」についてです。
近年、ますます高度化するサイバー攻撃に対抗するため、前回紹介したSOCと並び、CSIRT と呼ばれる組織を構築する企業が増えています。CSIRTとは、「Computer Security Incident Response Team」の略で、「シーサート」と読みます。
CSIRTのフルネームに、Incident Response(インシデントレスポンス)と入っているように、インシデントレスポンスを実施する組織です。インシデントレスポンスとは、ウイルス感染、不正アクセス、情報漏えいなどのセキュリティを脅かしている事象に対して、原因の調査、対応策の検討、サービス復旧などを適切に行うということを意味しています。
今までは、企業や組織は、その対処方法として、ファイアウォールやエンドポイントのウイルス対策製品、サンドボックスなどさまざまなセキュリティ対策製品を導入し、対策に当たってきました。つまり、まずは問題を起こさないことに注力してきました。
しかし、標的型攻撃をはじめ、サイバー攻撃手法が高度化している現在、ある程度被害を受ける可能性があることを想定しておくことが大切だと考えられるようになってきました。
そこで、セキュリティインシデントが起こることを前提に、被害を最小限に抑えるための組織作りの一環として、CSIRTを構築する企業や組織が、増えてきたのです。例えば、政府組織では、内閣サイバーセキュリティセンター内にある緊急対応支援チーム(NIRT:National Incident Response Team)は、CSIRTとして設立されています。
CSIRTはよく消防署に例えられます。火事が起きてから消防署の電話番号を調べる人がいないように、CSIRTの連絡先もサイバー攻撃が起こる前に用意して、周知する必要があります。
一方で、火事が発生して事後対応だけが、消防署の活動でしょうか?みなさんも、学校や職場で、消防署の方々による火事に対する安全指導を受講された人がほとんどだと思います。つまり、消防署の活動には、事前対策も含まれているのです。同様にCSIRTでも 技術的情報を提供したり、教育やトレーニングを実施したりすることが求められます。
では、よく質問にあがるSOCとCSIRTの違いは、どこにあるのでしょうか?
SOCは、導入製品を適切に運用し、セキュリティ上の脅威を監視に当たる組織、CSIRTは、セキュリティ事故が発生した際に緊急対応に当たる組織であるといえるでしょう。しかし、上記のようにCSIRTは、事後だけの対応を行う組織ではないことにも注意してください。
現状では、CSIRTには標準規格というものがなく、各企業や組織の実態に合わせて柔軟に構築・運用するものです。CSIRT構築に参考となる組織開発や人材育成については、FOCUS JAPAN 2015 (2015年11月13日開催) のセミナーおよびEXPOでもご紹介いたします。ぜひ、ご参加ください。
【カンファレンス概要】
FOCUS JAPAN 2015
New. Next.
~未知の脅威に先手を打つ 新しいセキュリティのカタチ~
開催日時: 2015年11月13日(金) 10:00~19:00(9:30開場)
会 場 : ザ・プリンスパークタワー東京
参加費 : 無料(事前登録制)
対 象 : 企業、官公庁の情報システム部門・セキュリティ管理者
: セキュリティ製品の販売店・システム インテグレータの担当者
主 催 : インテル セキュリティ(マカフィー株式会社)
詳細・お申し込みは ≫ こちらから
- 参考情報:JPCERT コーディネーションセンター「CSIRTガイド」
- http://www.jpcert.or.jp/csirt_material/files/guide_/guide_v
- 情報処理推進機構(IPA)「CSIRT 体制と効果的なインシデント対応について」
- http://www.ipa.go.jp/files/000002183.pdf
■関連サイト
・マカフィーblogのエントリー
・マカフィー
